Использование ключей, управляемых клиентом, для шифрования
В этой статье представлен обзор ключей, управляемых клиентом, для шифрования.
Примечание.
Для этой функции требуется план "Премиум".
Общие сведения о ключах, управляемых клиентом, для шифрования
Некоторые службы и данные поддерживают добавление управляемого клиентом ключа для защиты и контроля доступа к зашифрованным данным. Службу управления ключами в облаке можно использовать для обслуживания ключа шифрования, управляемого клиентом.
Azure Databricks поддерживает управляемые клиентом ключи из хранилищ Azure Key Vault и Azure Key Vault Managed HSM (аппаратные модули безопасности).
Azure Databricks предлагает три функции ключей, управляемых клиентом, для разных типов данных:
- Ключи, управляемые клиентом, для управляемых дисков Azure
- Ключи, управляемые клиентом, для управляемых служб:
- Ключи, управляемые клиентом, для корневого каталога DBFS
В следующей таблице перечислено, какие функции ключей, управляемых клиентом, используются для каких типов данных.
| Тип данных | Расположение | Функция ключа, управляемого клиентом |
|---|---|---|
| Панели мониторинга ИИ/BI | Плоскость управления | Управляемые службы |
| Источник и метаданные записной книжки | Плоскость управления | Управляемые службы |
| Персональные токены доступа (PAT) или другие учетные данные, используемые для интеграции Git с папками Databricks Git | Плоскость управления | Управляемые службы |
| Секреты, хранимые API диспетчера секретов | Плоскость управления | Управляемые службы |
| Запросы SQL и журнал запросов Databricks | Плоскость управления | Управляемые службы |
| Индексы и метаданные векторного поиска | Бессерверная плоскость вычислений | Управляемые службы |
| Данные корня DBFS, доступные для клиентов | Корневой каталог DBFS вашей рабочей области в учетной записи хранилища в вашей подписке на Azure. Это также включает область FileStore. | корень DBFS. |
| Результаты работы | Учетная запись хранения рабочей области в подписке Azure | корень DBFS. |
| Результаты Databricks SQL | Учетная запись хранения рабочей области в подписке Azure | корень DBFS. |
| Модели MLflow | Учетная запись для хранения рабочей области в подписке Azure | корневой каталог DBFS. |
| DLT | Если вы используете путь DBFS в корневом каталоге DBFS, это сохраняется в учетной записи хранения вашей рабочей области в вашей подписке Azure. Это не относится к путям DBFS, которые представляют точки подключения к другим источникам данных. | корень DBFS. |
| Результаты интерактивной записной книжки | По умолчанию при интерактивном запуске записной книжки (а не в качестве задания) результаты хранятся на управляющей плоскости для повышения производительности, а некоторые крупные результаты хранятся в учетной записи хранения рабочей области в подписке Azure. Вы можете настроить Azure Databricks для хранения результатов всех интерактивных записных книжек в учетной записи хранения рабочей области. См. Конфигурация расположения хранилища для результатов интерактивной записной книжки. | Для частичных результатов на уровне управления используйте ключ, управляемый клиентом, для управляемых служб. Для получения результатов в учетной записи хранения рабочей области, которую можно настроить для всего хранилища результатов, используйте управляемый клиентом ключ для корневого каталога DBFS. |
| Другие данные системы рабочей области в учетной записи хранения рабочей области, недоступные через DBFS, например, редакции записной книжки. | Учетная запись хранения рабочей области в подписке Azure | DBFS root. |
| Управляемые диски | Временное хранилище дисков виртуальных машин в вычислительных ресурсах, таких как кластеры. Применяется только к вычислительным ресурсам в классической плоскости вычислений в подписке Azure. См. статью Бессерверные вычисления и ключи, управляемые клиентом. | Управляемые диски |
Для повышения безопасности экземпляра учетной записи хранения вашей рабочей области в подписке Azure можно включить двойное шифрование и поддержку брандмауэра. См. раздел «Настройка двойного шифрования для корневого каталога DBFS» и «Включение поддержки брандмауэра для учетной записи хранения рабочей области».
Внимание
Только панели мониторинга AI/BI, созданные после 1 ноября 2024 г., шифруются и совместимы с ключами, управляемыми клиентом.
Бессерверные вычислительные и управляемые клиентом ключи
Databricks SQL Serverless поддерживает:
Управляемые клиентом ключи для управляемых сервисов в запросах Databricks SQL и их истории.
Ключи, управляемые клиентом, для корневого хранилища DBFS для результатов в Databricks SQL.
Ключи, управляемые клиентом для управляемого дискового хранилища , не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.
Обслуживание моделей
Ресурсы для обслуживания моделей, бессерверная функция вычислений, обычно находятся в двух категориях:
- Ресурсы, созданные для модели, хранятся в корневом каталоге DBFS в хранилище ADLSgen2 вашей рабочей области (для старых рабочих областей — в хранилище BLOB-объектов). В это входят артефакты модели и метаданные её версии. Реестр моделей рабочей области и MLflow используют это хранилище. Это хранилище можно настроить для использования ключей, управляемых клиентом.
- Ресурсы, создаваемые Azure Databricks непосредственно от вашего имени, включают образ модели и эфемерное бессерверное хранилище вычислений. Они шифруются с помощью ключей, управляемых Databricks, и не поддерживают управляемые клиентом ключи.
Ключи, управляемые клиентом для управляемого дискового хранилища, не применяются к бессерверным вычислительным ресурсам. Диски для бессерверных вычислительных ресурсов являются короткими и привязаны к жизненному циклу бессерверной рабочей нагрузки. При остановке или уменьшении масштаба вычислительных ресурсов виртуальные машины и их хранилище уничтожаются.